『経産省と本気でアジャイル開発をやってみた!制度ナビPJで見えたGovTechのリアルと未来』に参加した

5/14(火)に行われた以下イベントの参加レポートです。

Twitter HashTag : #経産省と本気でアジャイル #GovTechJP

  • どういうわけか電源の減り具合が急速で、パネルディスカッションの分はメモを取れなかったので、取れたところまで書いたメモです。Twitterやったりしながらだったので抜け落ちはあると思います。
  • 資料が出てきたら思い出せることもあると思うので追記等します。

思ったこと

  • 大きな刺激を受けた。この国がよりよくなるよう、取り組みに注目したいし、可能であれば関わりたい気がした。
  • もっと、行政の取り組みがオープンになっていくといいな、と思った。
  • 価値を届けるためにデータを集めてユーザーの反応を見て改善していくの、全てにおいて共通で必要、と再認識した。

セッション概要とメモ

Peatix にかいてあったタイムテーブルのをもとに

19:00-19:10 挨拶&Code for Japan紹介

(Code for Japan代表理事 関 治之)

  • Chief Inovation Officer ...

  • 行政内でのアジャイル開発の実践知を広く伝えることで、多くのチャレンジが生まれて欲しい

  • Code for Japan の活動

  • Government as a Platform

  • なぜ行政でアジャイルが難しいか

  • とはいえ、やるしかない

19:20-19:25 スマート公共サービス官民協議会から見えてきたこと

(Code for Japan理事、前総務省大臣補佐官 太田 直樹氏)※順序変更で、先に

  • 未来投資会議 のプロジェクトの1つ、スマート公共サービス

  • GovTech には様々な前提がないとダメ

    • データが公開されている
    • APIが使える
    • ...
  • LGWAN 問題

  • 自治体向けアプリマーケットプレイスの検討

    • 食育
    • 課題
      • 調達ルールどうする?など
  • 垣根を超えて共有しないと学びが広がらない

19:10-19:20 経産省DXの取り組み

経済産業省情報プロジェクト室 室長補佐 吉田 泰己氏)※順序変更で、後に

  • 行政サービスと民間サービスとの圧倒的な質の差が見過ごせないレベルになってきている

  • デジタルトランスフォーメーションで行うこと2つ

  • 「ユーザー中心」のサービスへの移行

  • 良いUXを提供することでデータが集まり、分析によってサービスが改善されるようなサイクルを目指す

  • DXオフィス

    • 2018年7月立ち上げ
    • デジタル化推進マネージャー
  • 法人デジタルプラットフォーム

  • 法人インフォ (法人番号検索サイト?)

  • GビジネスID / gBizID

  • 補助金申請システム

    • 全てのフローを電子化
  • 中小企業支援プラットフォーム「ミラサポ」

  • 目指す世界(3つ)

    • 行政サービスが社会に溶け込んだ世界を目指す
    • サービスデザイン思考とアーキテクチャー思考の両立
    • 行政×テックを実現するエコシステムを広げていく

[いよいよ本題]

19:25-19:45 制度ナビPJ紹介&デモンストレーション

経済産業省中小企業庁 松原 匠氏)

  • 制度ナビって何?

  • なぜ制度ナビを作ったの?

    • 中小企業庁の職員でも適切な支援聖堂を探せる気がしなかったから
  • 施策マップ

  • seido-navi.go.jp

  • 災害支援の件数を絞り込んでユーザーがリーチしやすくする工夫

    • 1000件とか、見る気がしない
  • 3つの制度の問題

    • 定義の問題
      • 中小企業の定義って制度で違います。
      • さらに・・・創業者、業種、「先進的」などの単語
        • 補助金によって定義はバラバラ
        • -> あなたは中小企業ですか?
    • 補助金リテラシー問題
      • 補助金の交付要綱 80ページ
        • とても読みきれません
        • ルールも複雑
        • 毎年変わります
        • -> 自分が対象になると確信できます?
    • データ問題
      • アプリの実証に使えるデータがない
      • 集めようと思ったら全てバラバラ
      • 役所になかったり
  • -> アジャイルは素晴らしい でも行政自体が変わらないとダメ

    • 行政の担当者それぞれが意識をしていく
    • 利用者側も不便だと気づき訴えていく

19:45-20:00 民間から見た行政のサービス開発

(ギルドワークス株式会社 代表取締役 市谷 聡啓氏)

  • 「正しいものを正しく作れているか?」

  • 現実対越境

  • ミラサポ リニューアル

  • アジャイル開発で行きたい」

    • この言葉からわかることがたくさんある
      • 暗黙的な期待
  • 早く(少しだけ)形にできることの意義 9つ

  • 「探さない」というアプローチ

    • プラットフォームが探してくれる
    • 他人が探してくれる
  • 現状維持の大モーメンタム に臨むには、全員が探索的になるしかない

  • ユーザーのリアルな反応を全員で受け止める

20:00-20:15 民間による行政サービスのアジャイル開発

(株式会社グラファー 代表取締役 石井 大地氏)

  • People's Digital Government

  • 46,000

    • 国と地方の手続きの種類
  • Graffer 法人証明書請求

    • 履歴事項全部証明書
    • 印鑑証明書
    • 登記情報
  • Graffer フォーム

    • 戸籍謄本
    • 住民票請求
    • 独身証明書
    • 転出届
    • 課税証明書
      • 自治体ごとにフォームが違う
  • Graffer 手続きガイド

    • 転出・転入・転居 / 結婚・離婚 / 修正・死亡・相続 / 子育て支援
  • Graffer 窓口印刷

  • Graffer 電子申請

  • くらしのてつづき

    • 情報メディア
  • 行政が変わらないなら我々がつくる

  • 3.5

    • 開発者の人数
      • 登壇者が 0.5
  • 技術力ではなく組織力

    • Leadership
    • Frankness
    • Citizenship

以降、メモ取れず

20:15-20:25 休憩 -> 5分に短縮

充電を試みたが、あまり回復せず

20:25-20:55 パネルトーク①「行政は使いやすいデジタルサービスを作れるのか?」 -> 20分に短縮

(松原氏、林 大輔氏(経済産業省デジタル化推進マネージャ)、市谷氏)
(追加で、↓の平本氏が登壇。 sli.doへの質問に回答をしていた)

20:55-21:25 パネルトーク②「民間事業者と考える行政サービスの未来」 -> 20分に短縮

(吉田氏、平本 健二氏(内閣官房政府CIO上席補佐官/経済産業省CIO補佐官)、石井氏、木村 康宏氏(freee株式会社 執行役員))

21:25-21:30 クロージング

他の方からのレポート

250人もいたのでいくつか出てくると思われ、見つけたら追加していこうと思います。

  • 観測範囲で第1号でかつ内容の網羅性が最強 @suwa-sh さん note.mu

その他(些細なこと)

  • 経産省の敷地が広すぎる。半周することになったのですが遅れそうな気がして慌ててしまった。
  • 待ち行列ができて開始が遅れたこと、Techで解決するTryを期待したい。
  • Peatix の、連絡がメールで飛んでこないの、ちょっと微妙だなと思った。懇親会あるのに気がつかなかった。

書籍「Laravel + Vue.jsではじめる 実践 GraphQL入門」勉強会 #0 に参加した

5/9(木) に行われた以下イベントの参加レポートです。

現在携わっている1プロダクト開発業務に間違いなく知識として必要と思い、技術書典6で物理本が売り切れてしまい入手できなくてあきらめてたところを、ダウンロード版を購入してGWに1周しておいて臨みました。

AGENDA

19:30 ~ 19:40 オープニング

@kseta19 さん

会場提供いただいたTRASTA社より、会場の説明とプロダクトについてのお話。
refs: https://trasta.jp

  • インフラはGCPを利用しているとのこと。(そこで・・・懇親会で terraformer でインフラのコード化はいかが、と紹介した・・・2

19:40 ~ 20:00 GraphQL概要+補足

@kzkohashi さん

  • GraphQL の歴史・概要と、REST・gRPC との比較、CQRS(Comand Query Responsibility Separate)の考え方について解説。運用に向けた観点の話や今後の展望について整理整頓されたレクチャを聞けた。

20:00 ~ 20:20 Laravel + GraphQL の所感

@aiiro29 さん

  • GraphQL Playground の説明と利用の実演。
  • GraphQLの習得や開発には間違いなく欠かせないツールだということを理解。
  • 実演環境で、勝手ながら軽く遊ばせていただきました・・・

20:20 ~ 20:40 ApolloとGraphQL

@minegishi32 さん

  • (あまりフロントエンド側について明るくないのでうまく書けないのですが、)Apollo Client が GraphQL 利用時には良さそうと知った。
  • 事例がまだ多くないようで、本番運用に向けての懸念がいくらかありそう。流布が希望される。
  • AWS AppSync も初めて知った。

After the event

GraphQL周りの新しい情報を色々知ったので、復習的に事例などを漁ってみた。
いくつか本番運用にも乗っているケースもあるようで、参考になったので列挙します。

GitHub の GraphQL API のドキュメント などをみていると、GraphQLを活用できるようになっていると今後けっこう重宝されそうな気がするので、いろいろ試してみて小さくTipsなどを共有していこうかなと思いました。

Note

  • ↓Boothにてダウンロード版 販売中

  1. 4/14時点では決まってなかった

  2. Qrunch に上げた自分の記事 [GoogleCloudPlatform]から出た[terraformer]を使ってみた がなんと今日のトレンド最上位 :muscle: (2019/5/10時点)

(参加メモ)新元号決定!平成最後のLT大会&PARTY [平成分]

4/30(火) に行われた以下の会の参加メモです。

終電の事情で居たのが 23:20 くらいまでだったのでそこまでになります。
LTされた方の足跡になれば幸いです。
例によって(?)、スピード重視で出すので、間違ってるところ等があれば知らせてもらえるとありがたいです。

AGENDA

自分のつぶやきと、感想を交えて。
言い訳ですが前半ほど食事とビールに注力したので傾聴してませんでした。。

20:00 オープニングトーク

@ariaki4dev さん

  • 平成クイズがすごい力作。いい準備してるなあと思った。

20:30 LT大会&各種企画

ボードゲームに参加

@anchor_cable さんの進行(だったはず)。
こういうのちゃんと進行するの素敵、と思った。

  • みんなが協力的だったこともあり、1つ新しいことをしっかり覚えられた。個人的にはハイライトと言える。「場を作る」ことに必要なのは何か、を感じた。

LTs

■ 私を育てた「Goluah!!」というゲームについて

@___freddi___ さん

  • (資料は見つかったら付けます)

  • NYで発表するほどに成長できたきっかけをくれたGoluahに感謝、といういい話。

■ (無限LT)

@nyamucoro さん [推測です。違ってたらすみません。。]

  • (資料は見つかったら付けます)

  • おもしろそう、とは思ったのだが体力的についていける自信が持てなかったので様子を見ることに。こっそり注目しておきたい。

■ 平成初期の記憶を辿り 振り返るWEBサービス(?)

@happylifetaka さん

  • PerlCGI、懐かしい。あれで一時期某バスケ部の出欠確認とかやってた。ダイヤルアップだったりとかで、会社にしかネット環境なんてない感じの頃にだいぶお世話になりました。あの頃があって、今の自分があると思うと感慨深い。それがあったのが、平成。30年で、大きく環境が変化したことを認識。

■ みんな大好きスーファミに感謝!

@sapi_kawahara さん

  • たしかに、ファミコンからスーパーファミコンへの変化は劇的だったと思う。当時大学生になり始めた頃だった記憶で、ファイアーエムブレムをやりまくってたような。札幌の、家賃 ¥15,000 の共同アパートで。そんな感じで、聞いてて、あの頃の時間の使い方、間違ってたよなーとも思ったりも。

■ 僕らのオンゲーを支えた平成のチャットツール達

@okash1n さん

  • そういえば会社でのチャットって公式か非公式かはあっても昔から何かがあって、情報流通の道具でした。今はSlackとかなしでは仕事になりませんよ的なところが多いですが、少し前はいわばDMで、会う約束とかヒソヒソ話とかやってましたよね。記録抜きにくいのをいいことに。おっと誰かが来たようだ・・・

■ (MS-DOSの話)

(すみませんどなただったか、現在ある情報から特定できません。。)

  • (資料は見つかったら付けます)

  • Windows 95, 98, Me なんてのもあって、2000, XP... もうそんな世界には戻れないけど、あれだけWindowsのショートカットキーを覚えてるのはあの頃があったから。どうにかして、効率的にやりたいんだっていうのを意識できたのはこのおかげだったようにも思われ、複雑。

jQueryありがとう

@FruitRiin さん

  • (すみません、あっという間だったので、感想がない。。)

■ 平成時代に憧れてたあのエディタを実装してみる

@tadsan さん

  • 記憶では、最も会場が沸いた話。絵文字を strlen ・ mb_strlen するといくつですか?の答えを追求していてたくさんのトリビアを短時間で見せてくれました。個人的には全部 10 へぇ。面白かったです。スライドを見たい。。

■ 接続デバイスの歴史(USBやシリアルやら)

@tashipiyo さん

  • USBの歴史的な話から、RS-232はCだけじゃなくてD/E/Fがある、とか、今やあまり見なくなったPS/2マウスやキーボードの話とか、聞いてて、昔は5インチのフロッピーやMDも現役だったんだよなあ、と思い出しながら聞いてました。ほんと、今やクラウド

■ 『データベース2.0』

たか さん (Twitterアカウント特定できず)

  • システム障害でよくボトルネックになってると思われるのはDB。そうだと思います。DBをよく知ろう、という主旨だったと記憶してます(だんだん眠くなってたかも...)。今後は言語にしてもクラウドにしてもDBにしても、構造を広く知ってると強そうだなと感じました。

以降は電車でTweetを眺めるのみ

おわりに

なんだか書いてて複雑な気持ちになりました。

  • 今の学生、インターンやらいろいろ求められて大変だなあ。昔は「遊べ遊べ」って言われてた気が。自分はそういえば適度な範囲だろうけど比較的多めにアルバイトしてたような気がするけど、アウトプットをそんなに期待されてたような記憶はない。

  • ゲームはある程度脳を活性化させてくれるとは思うけど、学生の頃の時間の使い方はよくなかったなあ、と。時間は戻らないけど、後世には反面教師としてしか伝えられないな。。でも自分なりの精神のバランスの取り方だったようにも思うんだよなあ・・・

全くまとまりがないんですが、令和はもっと、人に教訓なり見本になれる事例を伝えていくように生きていきたいなあ、と思いました。

(参加メモ)GitLab Meetup Tokyo #16: 新年度応援

4/24(水) に行われた以下勉強会の参加メモです。
ひとまず "資料を集めておいた" というものです。得たことを思い出すのに利用いただければありがたいです。

AGENDA

18:30 開場・19:00 開始

(Initialize)

18:30-19:00 GitLab Tokyo 受付

同じビルで他のイベントがあったようで、勘違いして行列に並んでしまったが、無事に定刻通りの会場入り。

19:00-19:05 GitLab Tokyo GitLab Tokyo/GitLabのご紹介

  • 会場提供のPLAID社の方より、会場と会社の説明。
    かなり GCP を使っている、トノコト。
    https://plaid.co.jp

  • フードスポンサーはアイリッジ社。 O2Oってなんだろう?って思いましたが、調べてみたらなるほどと思いました。 https://iridge.jp

Sessions

19:05-19:25 GitLabでできること&GitLab 12.0の改善点

@tnir さん

  • GitLab Tokyo の最近と今後 speakerdeck.com

  • パッと見、なんでもできそうですごい、と思った。6枚目のスライドが圧巻。

19:25-19:55 (New Relic) SRE and APM (仮)

@csk さん

  • (いい話だった...DevOpsの歴史と、これからの話。・・・資料公開を期待・・・) -> 公開されたようなので追記
  • 共有、自動化、計測 - DevOpsツール考察 -

    www.slideshare.net

  • (後発だったので見返して思ったのですが)これはもの凄い資料。GitLab や NewRelic を使ってみたくてしょうがなくなる。数ヶ月後に直接連絡する自分をイメージしてしまっている。

19:55-20:25 GitLab Runner autoscaling

@sue445 さん

  • スペックを上げてクラウドで殴るCI speakerdeck.com esa-pages.io

  • 運用の知見満載の資料。圧巻であんぐりと開いた口が塞がらない。Oh, my god ! と本当に思った。サービスマネージャを目指すうえは、精進せねばと。

LTs

20:25-20:30 ふんわりReview Appsでデプロイプレビュー

@Rena_moo さん

20:30-20:35 GitLab CI/CDとECS Fargateでリリース作業が楽になった話

@8rfx さん

20:35-20:40 iOSとGitLab-CI

@417_72ki さん

  • iOS And GitLab-CI speakerdeck.com

  • iOSプロダクトの運用について知見を得た感じ。適材適所を目指して辿り着いたのかなと思った。(というか、このあたり自分が知ってることが少なかったので、聞いたことが新しいことばかりで仰天してた)

  • 補足

20:40-20:45 GitLabサーバーのモニタリング

@yteraoka さん

20:45-20:50 新人がGitを使えるようになるために育成レポートをGitLabで管理してみた話

@takamii228 さん

  • 新人がGitを使えるようになるために育成レポートをGitLabで管理してみた話 speakerdeck.com

  • 今回のサブタイトル「新年度応援」に最も沿った、発表者本人も言ってましたがライトな、それでいて「最初って、こうですよね」という内容。圧倒され続けていたが、最後でなんか安心した。

  • 補足

ぼくのつぶやきから

https://twitter.com/search?f=tweets&q=%23gitlabjp%20%40sogaoh&src=typd

ちょっとついていけなくて、まだまだ知見が浅いなーと痛感した。(普段使ってない、だけではない)
個人的にGitHubで管理しているものを、移してみようかなという気にはなっている。
本:GitLab実践ガイド を読んでから、だと、熱が冷めてしまうだろうから、GWが分かれ道になりそう。

(参加メモ)『失敗から学ぶ RDBの正しい歩き方』発刊記念!そーだいさんから直接学ぶ会

これは、 4/11(木) に行われた以下勉強会の参加メモです。
(スピード重視で、メモしたことを共有したいだけな感じです。一番見てほしいのは懇親会パート。)

AGENDA

会場説明 + α

  • ミクシィ 採用」で検索してね
  • 新人研修でMySQLのストレージエンジンを作った話

曽根壮大様によるご講演

  • アイスブレイク
    • @soudai1025 さんは mixi ヘビーユーザー
      • 運命の出会いも mixi
    • 本について
      • 書くのに2年くらいかかった
      • 何のために書いたか
        • 知識をつなぐため
      • 失敗談はなかなか本にならない
        • 失敗の共有はぜひやってほしい

資料

2つ目と3つ目のを抽出してマージした感じのが、今回の資料でした。

講演 かいつまみ(過ぎ...)

  • 第2章 失われた事実

    • (2014/)4/3 に返品があったら?1
  • 第7章 隠された状態

    • DBには事実を保存する
  • 第13章 知らないロック

    • MySQLPostgreSQLのロックには違いがある。ロックに限らず。
  • まとめ

    • データベースの寿命はアプリケーションより長い

懇親会

とても幸運なことに、 @soudai1025 さんといろいろ話ができた。
記憶に残っている2 ものを共有したいので列挙します。
()の中は「心の声」です。。

  • 第2版には 実行計画 の話が出るか?
    • まとめるのが難しい(って言ってたような違うかもしれないような...)
  • explain の読み方
    • 書かれてる本は少ないが、ある
      • (タイトルなんだったっけ...)
  • 参照系と更新系の分散は HAProxy にやらせるのが良さそう
    • フェールオーバーも、自動切り離しもするし
  • MySQL 8 の次のマイナーバージョンアップで check 制約使えるようになる
    • マイナーバージョンアップでそれをやるのが MySQL
  • Oracle は優秀
  • DBに関係ない別件
    • Amazon Linux 2 のインスタンスに mackerel-agent-plugins のインストールが できない、ような話を聞いたことありますか?
    • 断片的ですが
      • 「入門 子育て」出ますか?と「失敗(できんやろ)から学ぶ 子育て」どうですか?が近所から聞かれてました...軽く吹きそうに。

ぼくのつぶやきと、ハイライト3選

個人的にいちばん刺さったのはこのあたり。

備考


  1. 2014年4月1日:消費税率が 5% -> 8% になった日

  2. 自分にはビール 350ml 一杯がラリホーマです

(参加Blog)第2回 脆弱性対応勉強会(勝手に IPAテクニカルウォッチ ハンズオン)

これは、 3/30(土) に行われた以下勉強会の参加レポートです。

  • Twitter HashTag : (イベントページ上は明示されてなかったためか、投稿は少ない)

  • Note

    • ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を対象とします。WEBアプリケーション脆弱性については、対象としません。

感想

  • ハンズオンで Vuls を使ってみることができて、とっかかりを把握できたと思うので個人的にはかなり満足度が高い。先達はあらまほしきことなり。

  • Vuls 以外にも、脆弱性情報収集方法やCVSSなどの多くの情報を知ることができて、大変ありがたい会だと思った。感謝。可能であれば来月も参加したい。

  • Vuls のセットアップや脆弱性情報のアップデートは間違いなく自動化もしくは簡素化すべき作業だなと感じた。(Ansible Playbook に、余力あれば落とし込んでみたい気がしている)

資料

  • 進行用のメイン資料。勉強会の講義では「見せられないよ」の部分もオープンになっている資料を見ながら話を聞きました

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」

https://www.ipa.go.jp/security/technicalwatch/20190221.html

  • この中の、レポート(1.8MB) がハンズオンの材料
  • 資料は CentOS の環境を想定して書かれているが、ハンズオンでは Ubuntu にインストール
    • CentOS の OVAL 情報は ないRHEL のはあるけれど)ため、Ubuntu を選択トノコト

Vuls: VULnerability Scanner

https://vuls.io/ja/

  • OSS版公式サイト

https://vuls.biz/

  • 有償版。勉強会では終わりの頃に少しだけ触れられた

その他の有用に思った情報

  • 本題から少し逸れるので折りたたみの中に書きます。とてもきめ細かい。今後脆弱性情報を見る目が変わりそう。

    • セキュリティ設定共通化手順SCAP概説
      • 6つの共通仕様から構成される Security Content Automation Protocol
        • 脆弱性を識別するためのCVE
          • (Common Vulnerabilities and Exposures:共通脆弱性識別子
        • セキュリティ設定を識別するためのCCE
          • (Common Configuration Enumeration:共通セキュリティ設定一覧)
        • 製品を識別するためのCPE
          • (Common Platform Enumeration:共通プラットフォーム一覧)
        • 脆弱性の深刻度を評価するためのCVSS
        • チェックリストを記述するためのXCCDF
          • (eXtensible Configuration Checklist Description Format:セキュリティ設定チェックリスト記述形式)
        • 脆弱性やセキュリティ設定をチェックするためのOVAL
          • (Open Vulnerability and Assessment Language:セキュリティ検査言語)
    • 共通脆弱性評価システムCVSS v3概説
      • 脆弱性の深刻度を評価するための指標:CVSS(Common Vulnerability Scoring System)
        • 3つの脆弱性評価基準
          • (1)基本評価基準(Base Metrics)
            • 攻撃元区分(AV:Attack Vector)
            • 攻撃条件の複雑さ(AC:Attack Complexity)
            • 必要な特権レベル(PR:Privileges Required)
            • ユーザ関与レベル(UI:User Interaction)
            • スコープ(S:Scope)
            • 機密性への影響(情報漏えいの可能性、C:Confidentiality Impact)
            • 完全性への影響(情報改ざんの可能性、I:Integrity Impact)
            • 可用性への影響(業務停止の可能性、A:Availability Impact)
          • (2)現状評価基準(Temporal Metrics)
            • 攻撃される可能性(E:Exploit Code Maturity)
            • 利用可能な対策のレベル(RL:Remediation Level)
            • 脆弱性情報の信頼性(RC:Report Confidence)
          • (3)環境評価基準(Environmental Metrics)
            • 対象システムのセキュリティ要求度(CR、IR、AR:Security Requirements)
            • 環境条件を加味した基本評価の再評価(Modified Base Metrics)
        • AV などの符号は パラメーターの短縮表記 に用いられる

ハンズオン回顧

  • ここには、↑に書いたハンズオンの材料(IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」)と異なる点・やっていて気づいた点のみを書きます。(勉強会での ..注意点.pdf に相当)

  • 実際にやった手順は↓にまとめます。(分けるのは、見映えの都合です。。)

4.4. 事前準備

  • /etc/profile の設定はPROXYを使わないので飛ばした
  • vulsuser の追加は、Ubuntu なので adduser でやらないとホームディレクトリが作成されないという罠があった
  • visudo で起動されるエディタ(Ubuntu デフォルトは nano)の設定変更を事前にやっておいた方が良い
    • update-alternatives --config editor -> /usr/bin/vim.tiny を選択した

4.5. 手動インストール

  • (1)(2)は取得に時間がかかるため、主催側で事前に踏み台サーバに取得してあるDBを複製して利用

    root@humidai:/tmp# time scp -i ~/.ssh/svr.key /tmp/cve.sqlite3 root@svr07:/tmp/

    • (1) 「JVN iPedia より 1998 年から作業年までの脆弱性情報を取得する」
    • (2) 「NVD より 2002 年から作業年までの脆弱性情報を取得する」
  • 今回の対象は Ubuntu18.04LTS であるため、Red Hat とはコマンドオプションが異なる

    $ cd $HOME

    $ goval-dictionary fetch-ubuntu

  • (3)OVAL の取得に時間がかかりすぎる(5分以上かかる)場合は、主催側で事前に踏み台サーバに取得してあるファイルを利用する

    root@humidai:/tmp# time scp -I ~/.ssh/svr.key /tmp/oval.sqlite3 root@svr07:/tmp/

  • (4)OSの脆弱性情報取得は25 分程度かかるため、主催側で事前に踏み台サーバに取得してあるファイルを利用する

    root@humidai:/tmp# time scp -I ~/.ssh/svr.key /tmp/gost.sqlite3 root@svr07:/tmp/

4.7. 脆弱性検知1

  • 2つのモード(ハンズオンで実習したのは a.)
    • a.Vuls を導入したサーバ自身に対してスキャンを行う「Local Scan Mode」
    • b.Vuls 管理サーバとリモート接続(SSH)をしたスキャン対象サーバに対して脆弱性検知する「Remote Scan Mode」

4.8. レポート確認(Vuls内機能)

  • TUI の操作を体感
  • わかるけど、VulsRepo の方が圧倒的に見やすいし使いやすそうに感じた

4.9. VulsRepo はやれず

  • 最新版 Vuls に対応できてない?
  • 個人的に、後日やっておきたい。

その他

会場提供のF-Secure 様より

  • 会社と紹介動画の説明をいただいた。
  • ハンズオンで疲れていたが、興味を持った。
  • 動画に日本語字幕を出せるのに「へー」と思った。
    • 確かに設定を変えていたのだが、自分のPCでそれをできない・・・

おわりに

やっぱり自分、この領域(セキュリティ)への関心が高い。もっとやっていきたいと思った。
人が安心してITを使える世にするには何ができるのか・何をすべきか、を考えていきたい。

備考


  1. 4.6. (参考)Dockerインストール は飛ばした

(参加メモ)人感センサでLINE通知する監視カメラを作ろう v2

※ アコーディオン部分の表示がどうにも意図した状況にならないので、  
 コードとコンソール出力に関しては別のページに分離しました。  
https://esa-pages.io/p/sharing/6641/posts/223/bd772f6e4d340d6cc532.html

Thoughts

  • 避けていたわけではないがこれまで触れる機会のほぼなかったIoTの領域に入り込むことができたようで、嬉しい。
  • 多くの新しいサービスやツールに入門できた。今後活用できるように、おさらいしたい。
    • SkyWay
      • 世界中のエンジニアのために、WebRTCの めんどくさい を引き受けるサービス
    • enebular
      • IoT製品・サービスづくりを包括的に支援する、開発・運用サービス
    • Line Notify
    • RaspberryPi

AGENDA

13:20〜13:40 オープニング

SkyWay & enebularについて

WebRTCの技術概要 / SkyWay の紹介

  • by @Tukimikage さん
    • 16枚目「WebRTCは総合格闘技」に対して、21枚目「SkyWayが提供するもの」で、ラクできそう、と思えてワクワクできる

IoTオーケストレーションサービス enebular のご紹介

  • by @wyamazak さん
    • 16枚目「複数のデバイスにリモートからデプロイ可能」でデバイス・ログを一元管理できそうに思えて、使ってみたくなる

13:40〜17:00 ハンズオン

資料: SkyWay+enebularハンズオン資料v2
特に大きな問題なく、ひと通り実現できて理解も深まった。
いや、そういえば、LEDはできなかったし、センサーを挿す位置がコーディングで固定されてて、後になってわかるまで検知しすぎるのを変えようともしなかった。

STEP1: enebularでWebアプリケーションを作成する

手順の通りでいけた。
1点だけ、補足説明あったところは以下。近日修正されるとのこと。

STEP2. Raspberry PiでSkyWay WebRTC GateWayの利用

これも特に難なくできた。
カメラに移った映像を画面で見れたのには小さな感動。

STEP3: enebularからLINE通知をしてみる

enebularからもPOSTリクエストからも、LINE 通知成功。

STEP4: 距離センサを利用してみる

ブレッドボードに対して外向きに差し込む は事後に最終的な記述に修正された。
そうなる前に、内向きに差し込んだ。
また、確かこのSTEPで、時刻合ってない問題に遭遇したと思う。
(手順書で触れられている)

STEP5: プロセスを永続化してみる

このSTEPでは、確か out of memory 問題に遭遇して、スタックトレースを手順書のコメントに共有した。
そのおかげで、pm2 の 余計なプロセスの削除方法も聞けて、それはそれでよかった。

早く終わった人演習とまとめ

ここまででだいぶ満足したので、チャレンジせずに先生が解くのをぼーっと見ていた。

17:00〜18:15 クロージング

片付け&アンケート

アンケートは、颯爽と回答しておいた。(Googleフォームだった)
分解して部品を返却。
再度、RasPiのシャットダウン。今日は手順をなんとなく覚えた。

懇親会

ありがたくも Pizza その他を振舞っていただいた。
本当におなかいっぱいになった。

Others

  • 入口がわからず、ちょっと遅刻してしまった。
  • Mac用のUSBの有線LANアダプタをお借りした。ありがとうございました。
    • 午前に届く想定だったが、間に合わなかった。。
    • 帰宅後届いてた、USB - Type-C アダプタはこちらです...

      20190323_adapter.PNG (5.4 MB)